Il25 maggio 2018,è entrato in vigore il Regolamento(UE) 2016/679 (di seguito, anche, «GDPR»), il quale ha tra i suoi obiettivi e novità quelli di:

  • armonizzare la disciplina sulla protezione dei dati personali all’interno di tutta l’Unione europea;
  • rafforzare e introdurre nuovi diritti degli interessati;
  • attribuire fondamentale importanza ai principi della accountability, della privacy by design e by default;
  • inasprire le sanzioni portandole sino a € 20.000.000 o al 4% del fatturato mondiale annuo del gruppo;
  • introdurre la figura del Data Protection Officer (di seguito, anche, «DPO»).

Per la conformità al GDPR, enti ed organizzazioni devono configurare un c.d. «sistema privacy»,che si evolve nel tempo, costituito dai seguenti componenti:

  1. Registro dei Trattamenti
  2. Informative
  3. Lettere di Designazione
  4. Procedure
  5. Registro Data Breach
  6. DPIA Data Protection Impact Assessment
  7. Registro dei Trattamenti

Quando un cliente, o dipendente, affida i propri dati ad una azienda o ad una organizzazione questa diviene Titolare del Trattamento.
Il Titolare del Trattamento deve tenere un registro che contiene almeno:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO) ove previsto;
    • le finalità del trattamento, cioè i fini, stabiliti dal Titolare del Trattamento, per cui si trattano i dati;
    • la descrizione delle categorie di interessati e delle categorie di dati personali;
    • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati(come per es. i Responsabili del Trattamento, cioè i fornitori, a cui il titolare affida idati personali custoditi);
    • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
    • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
    • ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
  1. Informative

Ai sensi del GDPR, il Titolare adotta misure appropriate per fornire all’interessato(cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.

Mediantel’impiego dell’informativa il Titolare fornisce agli Interessati tutte le informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici.

Fra le informative ricordiamo quelle rivolte alla clientela, ai dipendenti e la cookie policy.

L’informativa deve contenere almeno:

  • identità del Titolare;
    • dati dei Responsabili e dei Destinatari del Trattamento;
    • eventuali legittimi interessi perseguiti;
    • eventuali trasferimenti di dati all’estero;
    • il periodo di conservazione dei dati personali;
    • diritti degli interessati esercitabili;
    • eventuale trattamento di dati particolari;
    • la natura del conferimento (obbligatorio o meno);
    • eventuale presenza di processi decisionali automatizzati compresa la profilazione.
  1. Lettere di Designazione

Ai sensi dell’art. 29 delGDPR chiunque tratta dati personali per conto del Titolare del Trattamento deve ricevere specifiche istruzioni.

Il Titolare può ricorrere a:

  • Responsabili del Trattamento,in genere fornitori a cui il Titolare affida i dati personali;
    • Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema, ex. Incaricati), costituiti in genere dai dipendenti del Titolare a cui vengono attribuiti i privilegi di accesso per accedere ai dati.

Ledesignazioni di Responsabili ed Autorizzati sono in genere redatte in forma scritta mediante specifiche lettere con termini appropriati.

  1. Procedure

Il Titolare del Trattamento regola la propria attività mediante specifiche procedure ai fini di dimostrare la conformità al GDPR:

  • Privacy by Design / Default;
    • Gestione delle violazioni dei Dati personali (Data Breach);
    • Gestione esercizio Diritti interessati;
    • Processo per la nomina di Responsabili del Trattamento;
    • Processo per la nomina di Soggetti Autorizzati (Ex. Incaricati).
  1. Registro Data Breach

Aisensi dell’Art. 33 c.5 del GDPRIl Titolare del Trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

IlTitolare del Trattamento deve tenere un registro preposto alla registrazione delle violazioni dei dati personali in cui annotare tutte le violazioni avvenute comprese quelle che non vanno notificate al Garante Privacy cioè quelle che non hanno un rischio elevato per le libertà e i diritti degli interessati.

  1. DPIA Data Protection Impact Assessment

Il GDPR impone ai Titolari del Trattamento l’esecuzione della DPIA (Data Protection Impact Assessment), cioè una valutazione d’impatto ai fini privacy, per tutti quei trattamenti che possano “…presentare un rischio elevato per i diritti e le libertà delle persone fisiche” in considerazione della natura, dell’oggetto, del contesto e delle finalità.

La DPIA è una valutazione che deve essere condotta seguendo specifiche metodologie (vedi provvedimento WP248); l’articolo35 del GDPR definisce la DPIA come uno strumento che, in ossequio al principio di accountability, consente ai titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.

La conformità al GDPR è un percorso che non si esaurisce con la semplice redazione di informative da sottoporre alla firme degli interessati.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *